Anteriormente, una vulnerabilidad implementaba un código remoto de 7 años en el sistema de software Samba (implementado a través del protocolo de red SMB) y permitía a los piratas informáticos tener el control total de las computadoras remotas Linux y Unix para ser notificadas. Para obtener más detalles sobre esta vulnerabilidad (CVE-2017-7497) y cómo funciona, lea este artículo.
En ese momento, casi 485,000 computadoras utilizadas con Samba eran potencialmente infecciosas en Internet, y los investigadores predijeron que el ataque SambaCry estaba tan extendido como antes lo había hecho el ransomware WannaCry.
Esta predicción es bastante precisa cuando un grupo de investigación de Kaspersky Lab descubrió un honeypot (traducción temporal de trampas de miel, un sistema de recursos de información falsa para engañar y evitar el contacto real del sistema). La campaña de malware explota el Vulnerabilidad de SambaCry para infectar equipos Linux con el sistema de criptomonedas (sistema de encriptación para conversión de datos). Otro investigador de seguridad de redes, Omri Ben Bassat, también investigó de forma independiente y descubrió una campaña similar llamada EternalMiner.
Según los investigadores, el grupo desconocido de piratas informáticos comenzó a atacar computadoras Linux solo una semana después de que la vulnerabilidad Samba fuera lanzada al público e instalara una actualización de CPUminer, un software de piratería informática. Criptomoneda Monero para cavar dinero digital monero (XMR).
Después de infiltrarse en la computadora con la vulnerabilidad SambaCry, el atacante realizará dos cargas en la computadora de la víctima:
- INAebsGB.so: un shell inverso que proporciona control remoto para un atacante.
- cblRWuoCc.so: una puerta trasera que incluye la herramienta de búsqueda de criptomonedas CPUminer.
“Aunque el código inverso todavía está en el sistema, un atacante podría alterar la configuración de las herramientas de excavación en ejecución o afectar la máquina de la víctima con otros tipos de malware”, dijeron los investigadores de Kaspersky. . Excavar con criptomonedas puede ser costoso porque requiere una gran cantidad de recursos informáticos, pero este tipo de malware es más fácil que el ciberdelito porque permite el uso de recursos pirateados para obtener ganancias.
También debe conocer Adylkuzz, el malware minero utiliza la vulnerabilidad SMB en Windows al menos 2 semanas antes del ataque WannaCry. Adylkuzz Malware también descubrió a Monero utilizando un gran recurso informático en una máquina Windows comprometida.
Las máquinas atacadas consumirán muchos recursos informáticos
Los atacantes detrás de SambaCry CPUminer ganaron 98 XMR, que hoy asciende a $ 5380 y ese número aumentará a medida que aumente el número de máquinas Linux infectadas. “El primer día, ganaron alrededor de 1 XMR (equivalente a $ 55 al tipo de cambio del 8 de junio de 2017), pero la semana pasada, ganaron 5 XMR por día”, dijeron los investigadores.
Samba se ha corregido en las nuevas versiones 4.6.4 / 4.5.10 / 4.4.14 y recomienda que las personas que usan versiones inseguras de Samba lo parcheen lo antes posible.
Samba
Anteriormente, una vulnerabilidad implementaba un código remoto de 7 años de antigüedad en el sistema de software Samba (implementado a través del protocolo de red SMB) y permitía a los piratas informáticos tener el control total de las computadoras remotas Linux y Unix para ser notificadas. Para obtener más detalles sobre esta vulnerabilidad (CVE-2017-7497) y cómo funciona, lea este artículo.
En ese momento, casi 485,000 computadoras utilizadas con Samba eran potencialmente infecciosas en Internet, y los investigadores predijeron que el ataque SambaCry estaba tan extendido como antes lo había hecho el ransomware WannaCry.
Esta predicción es bastante precisa cuando un grupo de investigación de Kaspersky Lab descubrió un honeypot (traducción temporal de trampas de miel, un sistema de recursos de información falsa para engañar y evitar el contacto real del sistema). La campaña de malware explota el Vulnerabilidad de SambaCry para infectar equipos Linux con el sistema de criptomonedas (sistema de encriptación para conversión de datos). Otro investigador de seguridad de redes, Omri Ben Bassat, también investigó de forma independiente y descubrió una campaña similar llamada EternalMiner.
Según los investigadores, el grupo desconocido de piratas informáticos comenzó a atacar computadoras Linux solo una semana después de que la vulnerabilidad Samba fuera lanzada al público e instalara una actualización de CPUminer, un software de piratería informática. Criptomoneda Monero para cavar dinero digital monero (XMR).
Después de infiltrarse en la computadora con la vulnerabilidad SambaCry, el atacante realizará dos cargas en la computadora de la víctima:
- INAebsGB.so: un shell inverso que proporciona control remoto para un atacante.
- cblRWuoCc.so: una puerta trasera que incluye la herramienta de búsqueda de criptomonedas CPUminer.
“Aunque el código inverso todavía está en el sistema, un atacante puede alterar la configuración de las herramientas de excavación en ejecución o afectar la máquina de la víctima con otros tipos de malware”, dijeron los investigadores de Kaspersky. . Excavar con criptomonedas puede ser costoso porque requiere una gran cantidad de recursos informáticos, pero este tipo de malware es más fácil que el ciberdelito porque permite el uso de recursos pirateados para obtener ganancias.
También debe conocer Adylkuzz, el malware minero usa la vulnerabilidad SMB en Windows al menos 2 semanas antes del ataque WannaCry. Adylkuzz Malware también descubrió a Monero utilizando un gran recurso informático en una máquina Windows comprometida.
Las máquinas atacadas consumirán muchos recursos informáticos
Los atacantes detrás de SambaCry CPUminer ganaron 98 XMR, que hoy asciende a $ 5380 y ese número aumentará a medida que aumente el número de máquinas Linux infectadas. “El primer día, ganaron alrededor de 1 XMR (equivalente a $ 55 al tipo de cambio del 8 de junio de 2017), pero la semana pasada, ganaron 5 XMR por día”, dijeron los investigadores.
Samba se ha corregido en las nuevas versiones 4.6.4 / 4.5.10 / 4.4.14 y recomienda que las personas usen versiones inseguras del parche Samba lo antes posible.